“尽量打语音,不要发文字!”
“可以放心,咱们是长期合作,数据都是真实的。”
“**宝付款,到时发你邮箱。”
《中华人民共和国数据安全法》将于9月1日正式实施,我国网络空间安全治理法律体系将进一步完善。然而,近期记者调查发现,在论坛社群、电商平台等网络空间,仍有灰色数据交易藏匿于隐蔽角落,其中也包含针对个人信息等在内的隐私数据交易。
被公开售卖的隐私数据
灰色交易藏匿于贴吧、淘宝等网络平台
联系中介卖房,隔天就有贷款公司问你需不需要借贷;每年车险快到期,就莫名其妙接到各种保险公司的推销电话……是哪个环节出现了问题?
在百度贴吧上,一些个人隐私数据、行业数据被公开叫买叫卖。
“全国企业内部员工通讯录,真实可测”“大众点评商铺数据,量大3000万”“收影视手机数据,支持测试的来”“收微博原始数据”……
灰色数据交易藏匿于一些网络平台。
“0.9元一条,实时抓取的。”记者通过QQ与其中一位卖家“林峰”取得联系,对方表示可以提供包括车险、网贷、信用卡等各行业的数据定制服务。卖家特别强调,所有数据是实时提取一手的,不是那种“很烂的、转卖了好几手”的数据,并强调“量大价格还可以再低一些”。
卖家向记者展示了之前交易的聊天记录和车险信息数据样本,并保证“信息都是真实的”。在他展示的数据样本中,包含车主姓名、身份证号、手机号、车牌、车型、发动机号、车架号、车检日期等详细信息。
卖家向记者展示的数据样本。
卖家说,车险数据来自不同的平台,当天下单要第二天才能发,需要进行数据筛选,“如果单一个保险公司,搞不了那么多,一个公司没那么强大。”
记者询问有没有网贷数据,对方则表示,目前只能提供号码,量大的话可以搞到住址等更详细的数据。
交谈过程中,卖家提醒“尽量打语音,不要发文字”。
另一位卖家对记者表示,自己卖车险,同时也可以出售车险客户资料,包括车辆年限、保险到期时间等“精准服务”。“如果要10月到期的车险信息,现在就有,11月份的需要等到下个月。”该卖家告诉记者。
而在淘宝、闲鱼等电商平台,记者发现还有不少商家上架了数据代查、数据采集等爬虫服务,涉及的内容包括:各城市地方官员相关数据、MIMIC临床数据库、某券商机构数据库查询下载、美团数据采集等。
在淘宝上,一家名为“启航羊绒制品”的商家,实际提供的是可定制信息采集服务,涉及搜狗、百度、高德、360地图商家POI兴趣点的电话号码信息。“个人信息采集不到,企业、店铺、门市、工商的都可以。”该商家告诉记者,这些都是公开信息,“没有风险”。
另外一家名为“CityData城市大数据”的商家告诉记者,可以提供包含联系方式等在内的二手房源信息,下单后24小时内网盘发货。
爬虫是一种快速自动抓取网络公开信息的辅助工具,例如我们使用的搜索引擎都用到了爬虫技术。
“一般而言,如果爬虫所爬取的是公开数据,将其打包售卖,并不被法律所禁止。但是,即便是公开数据的爬取,若爬取行为不当,仍然存在一定的法律风险,当事人有可能面临侵权或反不正当竞争诉讼。”中国银行法学研究会理事肖飒告诉人民网记者。
北京某科技公司技术总监刘刚指出,爬虫能获取的信息其实是有限的,且多数是公开的。但通过撞库、诱导、群发、钓鱼手段获取大数据信息行为,已非单纯的通过爬虫技术获取信息,应归纳到黑客、木马程序窃取的范畴。
行业互换成监管难点
越来越多的数据泄漏发生在企业内部
“上午9:22刚注册好公司,我方办税财务未泄露信息,马上就开始有一堆电话打过来,问我要不要记账报税。”日前,一位来自深圳市华龙区的市民在人民网领导留言板吐槽。
记者调查发现,在房产交易、教育培训、金融保险等重要民生领域,信息泄露情况普遍。多位受访者表示,有时候个人信息数据莫名其妙就被泄露了,一些企业的“精准营销”让人无处可躲。对此,有业内人士表示,数据行业互换是信息泄露的主要途径之一,企业、个人私下数据互换行为成为监管难点。
“行业互换现象非常普遍,比如:房产中介员工私下交换客户联系方式、汽车经销商与保险机构互换资源等等。这些私下行为比较难监管。”刘刚告诉记者,当前一般涉及数据安全的企业都需要通过网络安全等级保护评测,以黑客攻击、木马等技术方式大规模获取数据的难度很大,风险也比较高。目前,大量隐私数据是通过行业互换泄露的,一些小的服务中介、代理机构在客户信息保护方面意识淡薄。
事实上,随着公民对个人信息保护意识的不断增强,以及监管体系的不断完善,一些灰色交易正在浮出水面。
据媒体报道,浙江省通信管理局在7月5日对投诉人的答复函中核实,2019年11月11日,阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,该行为违反了《中华人民共和国网络安全法》第四十二条规定。
当前对于大型企业,特别是互联网大厂,数据安全被视为“生命线”,一旦出现数据安全事故,其后果将是难以承受的。网络安全法第21条明确规定了“国家实行网络安全等级保护(“等保”)制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务。”业内人士表示,一般大中型企业都会通过“等保”全面提升数据安全防护能力。
但是,“防止数据泄漏和数据合规运营是当前大多数企业面临的难点。”360集团大数据协同安全技术国家工程实验室咨询总监童磊坦言,中大型企业在完成数字化转型过程中基本具备网络安全基础防护能力,成熟度较高企业普遍实施传统数据安全方案,但对于隐私数据企业则普遍没有专门实施单独的安全管控,部分出海企业会针对出海业务实施《通用数据保护条例》(GDPR)隐私合规方案。
“越来越多的数据泄漏发生在企业内部。”童磊说,一方面,随着数据价值的提升,数据全生命周期流转往往涉及多个部门和多个系统,而相应的访问控制与权限管理很难兼顾安全与业务两方面诉求,诉求差异以及统一安全运营控制的缺失往往导致数据泄漏事件的发生。
另一方面,在数据成为新型生产要素的背景下,数据载体分布广,海量数据汇聚、流通、分析和共享,导致很多企业都不了解自己的数据,不能够清楚地知道敏感数据的具体分布,数据资产不清晰也为数据安全管控和保护策略的实施带来了困难。
“数据安全是相对的,很难做到绝对安全。”在刘刚看来,在一些面向C端服务的行业,如房产中介、保险金融等,基层网点多,人员流动大,而且能够直接触及到客户信息。这些特点使得数据“行业互换”等违法行为更加分散、隐蔽,一些企业在监管方面的“鞭长莫及”“默不作声”一定程度上助长了这种灰色交易。
刘刚认为,平台方应主动加强自身监管,落实内外风险管控、提升信息保护等级。另一方面,建议加大对个人泄露隐私的处罚力度。
目前,一些机构、企业也探索通过技术手段实现数据“可用不可见、可用不可取”。例如通过隐私计算技术,在不共享明文数据、保障数据安全和用户隐私的前提下,实现多方数据协同,联通数据孤岛,可以有效打击数据黑产。
数据安全顶层设计逐步到位
扎紧“数据灰产”牢笼仍需各方合力
随着数字经济成为经济增长的新引擎,数据作为新型生产要素的潜能正在逐步显现。如何在数据的收集、加工、传输等处理活动中既能释放效率红利,又确保敏感数据不被侵权、泄露、贩卖,成为监管需要平衡的关键。
在保护数据安全方面,即将实施的数据安全法规定了关键信息基础设施的运营者、从事数据交易中介服务的机构、国家机关等数据处理者均负有数据安全保护的义务。第四十四条至第五十二条还详细规定了违反相应义务时各主体应当承担的责任。肖飒表示,这有利于在发生违规违法事件后厘清各主体的法律责任。
“作为重要生产要素,数据对经济发展的价值需要被进一步重视。”中国电子技术标准化研究院网络安全研究中心数据安全部主任胡影认为,数据安全法的一大特点在于兼顾统筹数据安全与发展:一方面厘清隐私保护、数据安全链条中各主体的法律责任;另一方面也鼓励数据的合法开发利用,保障数据依法自由有序流动。
随着网络安全法、数据安全法、个人信息保护法的逐步到位,数据安全和隐私保护的监管力度正在不断加大。业内人士认为,顶层设计正在逐步到位,但要扎紧“数据灰产”牢笼,仍需行政监管、市场约束、行业自律、社会监督等各方合力。
“从监管动向来看,电商、外卖、快递、打车、连锁酒店、求职招聘等行业,获取的信息不仅涉及到用户隐私安全,还有可能涉及国家安全。”刘刚认为,大公司所获取的数据,往往更具有价值,加强企业对个人信息规范管理的同时,应推动建立统一的管理系统,以保证数据使用安全、合法、可追溯。
据中国信通院云计算与大数据研究所副所长魏凯介绍,信通院已牵头制定《数据安全治理能力评估方法》,编制发布《数据安全治理实践指南》,推出国内首个数据安全治理能力评估(DSG评估)服务,为企业建设、度量、改进自身数据安全治理体系提供方法论和操作指南,引导企业从战略、技术和制度等角度全面提升安全能力和合规水平。截止目前,已有20多家头部企业积极开展贯标工作。
“对于信息安全行业而言,应该积极探索如何平衡地利用数据,既要保护个人隐私、保护单点数据,又要进一步放大数据价值,真正实现数据全流程安全,确保数据可用不可见、可用不可取,进而发挥更大的政企数据赋能作用。”安恒信息董事长范渊说。
(文中林峰、刘刚均为化名。实习生许愿对此文亦有贡献。)